martedì, settembre 26, 2006

Come configurare ISA per mitigare la vulnerabilità Critica della libreria VGX.DLL (KB925486)

In questo breve tutorial vediamo come configurare ISA Server 2006 per mitigare la vulnerabilità "critica" KB925486 che interessa la libreria VGX.DLL.

Questa procedura di emergenza può essere adottata fino al rilascio della Patch per Windows, prevista per il 10 di Ottobre prossimo.

*****
Aggiornamento (27.9.06):
Rilasciata via Microsoft Update la patch KB925486.
E' possibile verificare, sulle macchine Windows Server 2003, l'installazione della patch controllando la seguente sezione del Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP2\KB925486\Filelist
oppure utilizzare l'utility gratuita Microsoft MBSA 2.0.
*****

La presente procedura prevede l'utilizzo dell'HTTP Filter di ISA Server 2004/2006.
Non è possibile utilizzarla con ISA Server 2000.


Le "firme" utilizzate, aggiornate al 21.9.06, fanno riferimento alla documentazione ufficiale Microsoft (vedi Riferimenti).

E' disponibile gratuitamente, sul sito di Jim Harrison (www.isatools.org), uno script VBS per la configurazione automatica dell'HTTP Filter. Per ulteriori informazioni consultare la sezione Riferimenti.

Configurare ISA Server 2006 Enterprise Edition
Per prima cosa verifichiamo che il filtro WebProxy e HTTP siano attivi!

Lanciamo la ISA Management Console.

1. Verifica stato Web Proxy Filter e HTTP Filter

  • Andiamo nella sezione Enterprise Add-ins che troviamo in: Enterprise > Enterprise Add-ins
  • Selezioniamo il tab Application Filters e verifichiamo che il filtro Web Proxy (Web Proxy Filter) sia Enable.



  • Selezioniamo il tab Web Filters e verifichiamo che il filtro HTTP (HTTP Filter)sia Enable.



Nota: Se nella Enterprise Policy abbiamo una sola regola - Default Policy -, allora possiamo passare direttamente a configurare il filtro HTTP nella Firewall Policy dell'Array. La procedura è identica sia per la versione Standard che per la versione Enterprise.

2. Configurazione della Firewall Policy


  1. Andiamo nella sezione Firewall Policy del nostro Array: Arrays > [ISAServer] > Firewall Policy.
  2. Facciamo clic con il tasto destro del mouse sulla prima Access Rule e verifichiamo se compare il menu a discesa con la voce Configure HTTP.



    Se non compare procediamo con la regola subito seguente. Una volta trovata la regola facciamo clic sulla voce Configure HTTP.
  3. Facciamo clic sul tab Signature
  4. Adesso clic sul pulsante Add..




  5. Riempiamo i vari campi secondo i valori riportati nella prima riga della tabella seguente dopodiché facciamo clic su OK...



    ...così da ottenere un risultato di questo tipo:



    Nota: Facciamo clic su OK quando viene visualizzato il messaggio ISA Server Configuration.


  6. Ripetiamo la procedura dal punto 4 fino a completare tutte le righe della tabella
  7. Una volta completata la procedura facciamo clic su OK così da ottenere il seguente risultato:


  8. Per salvare l'intera configurazione di ISA Server facciamo clic su APPLY.



Importante:

L'intera procedura deve essere eseguita su tutte le Access Rule che utilizzano il protocollo HTTP!



Buon lavoro a tutti

Luca Conte


Riferimenti:
Link script VBS:
http://isatools.org/block_vml.vbs

Bollettino di Sicurezza (MS06-055)
Advisory Microsoft (ITA)
Articolo KB Microsoft (ENG)
Riferimento CVE (ENG)
Advisory Secunia(ENG)
Workaround con ISA Server(ENG)
Microsoft MBSA (ENG)

posted by Luca Conte MCSE MCT MCSA VCP ITIL @ 18:00   0 comments

0 Comments:

Posta un commento

<< Home